模板

您可使用模板创建和保留配置信息以与 Cloud Data Loss Prevention (DLP) 配合使用。模板可用于将配置信息(例如检查的内容和去标识化的方式)与请求的实现分离。模板提供了一种可靠的方法用于管理 Cloud DLP 功能的大规模部署。

Cloud DLP 支持两种类型的模板:

  • 检查模板:此类模板用于保存检查扫描作业的配置信息,包括要使用的预定义或自定义检测器。
  • 去标识化模板:此类模板用于保存去标识化作业的配置信息,包括 infoType 和结构化数据集转换。

模板的优点

通过模板,您可为作业配置信息使用单一来源。请设想一下对 Cloud DLP 的典型检查扫描请求。无论您是在 Google Cloud 存储区中检查文本、图片还是结构化数据,您的检查请求都将包含下面两项基本信息:

  • 要扫描的数据:数据本身或有关数据位置的信息。
  • 扫描内容:要开启的预定义或自定义 infoType、可能性限制等。

假设您已安排运行多个存储检查作业,所有这些作业都对 Google Cloud 存储区中的电话号码进行了扫描,然后创建了一份发现结果报告。以下是这些作业的概念性摘要说明。请注意,"inspectJob" 表示要扫描的数据,"inspectConfig" 表示扫描内容。

检查作业 #1

  • "inspectJob":2017 年第 2 季度营销数据库。
  • "inspectConfig"PHONE_NUMBER infoType。

检查作业 #2

  • "inspectJob":客户提醒联系人数据库。
  • "inspectConfig"PHONE_NUMBER infoType。

检查作业 #3

  • "inspectJob":绝密 VIP 合作伙伴战略数据库。
  • "inspectConfig"PHONE_NUMBER infoType。

检查作业 #4

  • "inspectJob":政府合同数据库。
  • "inspectConfig"PHONE_NUMBER infoType。

每个作业的数据源都不同,但对扫描内容的说明是相同的。现在,假设我们还要扫描电子邮件地址。在这种情况下,您必须修改每个作业的配置并将电子邮件地址添加到 "inspectConfig"。如果您改用模板来配置扫描内容,则只需修改一项配置(即模板的配置)即可。下次运行其中任何作业时,作业就会知道要扫描电话号码和电子邮件地址,因为 "inspectConfig" 已设置为模板。

InspectTemplate 和 DeidentifyTemplate 对象

模板在 Cloud DLP 中由 InspectTemplateDeidentifyTemplate 对象表示。这两个模板对象都包含一组 infoType 检测器的配置,该配置可用于通常本该指定 InspectConfigDeidentifyConfig 对象的任意位置。

模板配置字段

每个模板对象都包含模板实现的配置对象,以及几个其他配置字段:

  • 模板的名称、显示名和说明。
  • InspectConfigDeidentifyConfig 对象:检查作业或去标识化作业的配置信息。
  • 创建时间 ("createTime") 和上次更新时间 ("updateTime") 的只读时间戳。

模板方法

每个模板对象还包含多种内置管理方法。 通过这些方法,您无需更新每个请求或集成即可维护模板。在下表中,每种管理方法均附加了链接,并根据模板是应用于组织范围还是项目范围,以及模板是去标识化模板还是检查模板进行组织:


organization. project.
deidentify
Templates.
inspect
Templates.
deidentify
Templates.
inspect
Templates.
创建新模板 create create create create
更新现有模板 patch patch patch patch
删除现有模板 delete delete delete delete
检索现有模板,包括其配置和状态 get get get get
列出所有现有作业模板 list list list list

使用模板

模板可用于检查和去标识化配置信息,还可用于内容 API 调用(文本和图片)和 Cloud DLP 作业(存储库)。

模板拥有功能强大的 Identity and Access Management (IAM) 控件,因此您可仅限获批用户对其进行管理。有关详情,请参阅:

资源

要了解如何通过 Cloud DLP 创建和使用模板,请参阅: